| AADTenantId |
string |
|
| AlternateSignInName |
string |
用户登录时提供的标识。 它可能是 userPrincipalName,但当用户使用其他标识符登录时,它也会被填入。 |
| AppDisplayName |
string |
Azure 门户中显示的应用程序名称。 |
| AppId |
string |
Azure Active Directory 中的应用程序标识符。 |
| AppliedConditionalAccessPolicies |
string |
|
| AppliedEventListeners |
动态 |
登录事件中相应事件触发的侦听器(如 Azure 逻辑应用和 Azure Functions)的详细信息。 |
| AuthenticationContextClassReferences |
string |
包含一组表示应用于登录的条件访问身份验证上下文的值。 |
| AuthenticationDetails |
string |
身份验证尝试的结果以及有关身份验证方法的其他详细信息。 |
| AuthenticationMethodsUsed |
string |
使用的身份验证方法。 可能的值:SMS、Authenticator App、App Verification code、Password、FIDO、PTA 或 PHS。 |
| AuthenticationProcessingDetails |
string |
其他身份验证处理详细信息,如 PTA/PHS 的代理名称或联合身份验证的服务器/场名称。 |
| AuthenticationProtocol |
string |
列出身份验证中使用的协议类型或授权类型。 可能的值包括:none、oAuth2、ropc、wsFederation、saml20、deviceCode。 对于使用所列可能值以外协议的身份验证,协议类型会被列为无。 |
| AuthenticationRequirement |
string |
这是登录成功的所有登录步骤所需的最高级别的身份验证。 |
| AuthenticationRequirementPolicies |
string |
身份验证要求的来源,如条件访问、按用户 MFA、标识保护和安全默认设置。 |
| AutonomousSystemNumber |
string |
参与者使用的网络的自治系统编号 (ASN)。 |
| _BilledSize |
real |
记录大小(字节) |
| 类别 |
string |
|
| ClientAppUsed |
string |
用于登录活动的旧式客户端。 例如:浏览器、Exchange ActiveSync、新式客户端、IMAP、MAPI、SMTP 或 POP。 |
| ConditionalAccessPolicies |
动态 |
由相应登录活动触发的条件访问策略列表。 |
| ConditionalAccessStatus |
string |
条件访问策略的触发状态。 可能的值:success、failure 或 notApplied。 |
| CorrelationId |
string |
在启动登录时客户端发送的标识符。 这用于在调用支持时排除相应登录活动的故障。 |
| CreatedDateTime |
datetime |
发起登录的日期和时间。 时间戳类型始终采用 UTC 时间。 例如,2014 年 1 月 1 日午夜的 UTC 时间为 2014-01-01T00:00:00Z。 |
| CrossTenantAccessType |
string |
描述参与者用于访问资源的跨租户访问的类型。 |
| DeviceDetail |
动态 |
发生登录的设备信息。 包括 deviceId、OS 和浏览器等信息。 |
| DurationMs |
long |
|
| FlaggedForReview |
布尔 |
在登录失败期间,用户可以单击 Azure 门户中的按钮,为租户管理员标记失败事件。 如果用户单击按钮标记失败的登录,则此值为 true。 |
| HomeTenantId |
string |
发起登录的用户的租户标识符。 不适用于托管标识或服务主体登录。 |
| Id |
string |
代表登录活动的标识符。 |
| 标识 |
string |
登录时识别的参与者的显示名称。 |
| IPAddress |
string |
登录时客户端的 IP 地址。 |
| IPAddressFromResourceProvider |
string |
用户访问资源提供程序时使用的 IP 地址,用于确定某些策略是否符合条件访问。 例如,当用户与 Exchange Online 交互时,Exchange 从用户接收到的 IP 地址可能会记录在此。 此值通常为 null。 |
| _IsBillable |
string |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsInteractive |
布尔 |
指明用户登录是否为交互式的。 在交互式登录中,用户会向 Azure AD 提供一个身份验证因素。 这些因素包括密码、对 MFA 质询的响应、生物识别因素或用户向 Azure AD 或相关应用程序提供的二维码。 在非交互式登录中,用户不提供身份验证因素。 而是由客户端应用使用令牌或代码代表用户对资源进行身份验证或访问。 非交互式登录通常用于客户端在对用户透明的过程中代表用户登录。 |
| IsRisky |
布尔 |
|
| 级别 |
string |
|
| 位置 |
string |
登录所在地由 2 个字母组成的国家/地区代码。 根据所提供的 IP 地址,此值不一定能解析到城市或地区级别的详细信息。 |
| LocationDetails |
动态 |
提供登录发生地的城市、州、国家/地区和经纬度。 |
| MfaDetail |
动态 |
此属性已弃用。 |
| NetworkLocationDetails |
string |
网络位置详细信息,包括使用的网络类型及其名称。 |
| OperationName |
string |
|
| OperationVersion |
string |
|
| OriginalRequestId |
string |
身份验证序列中第一个请求的请求标识符。 |
| ProcessingTimeInMilliseconds |
string |
|
| 资源 |
string |
|
| ResourceDisplayName |
string |
用户登录的资源的名称。 |
| ResourceGroup |
string |
|
| ResourceId |
string |
用户登录的资源的标识符。 |
| ResourceIdentity |
string |
用户登录的资源。 |
| ResourceProvider |
string |
|
| ResourceServicePrincipalId |
string |
在登录事件中代表目标资源的服务主体的标识符。 |
| ResourceTenantId |
string |
登录时引用的资源的租户标识符。 |
| ResultDescription |
string |
提供相应登录活动的错误信息或失败原因。 |
| ResultSignature |
string |
|
| ResultType |
string |
提供在登录事件中生成的 5-6 位错误代码。 0 表示成功;其他值表示失败。 可以使用 Azure AD 错误代码文档或 https://login.partner.microsoftonline.cn/error 来查找详细信息。 |
| RiskDetail |
string |
风险用户、登录或风险事件特定状态背后的原因。 可能的值:none、adminGeneratedTemporaryPassword、userPerformedSecuredPasswordChange、userPerformedSecuredPasswordReset、adminConfirmedSigninSafe、aiConfirmedSigninSafe、userPassedMFADrivenByRiskBasedPolicy、adminDismissedAllRiskForUser 或 adminConfirmedSigninCompromised。 值 none 表示到目前为止尚未对用户或登录执行任何操作。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。 所有其他客户都被隐藏退回。 |
| RiskEventTypes |
string |
此属性已弃用。 |
| RiskEventTypes_V2 |
string |
与登录相关的风险事件类型的列表。 可能的值:unlikelyTravel、anonymizedIPAddress、maliciousIPAddress、unfamiliarFeatures、malwareInfectedIPAddress、suspiciousIPAddress、leakedCredentials、investigationsThreatIntelligence 或 generic。 |
| 风险等级 |
string |
|
| RiskLevelAggregated |
string |
综合风险水平。 可能的值:none、low、medium、high 或 hidden。 值 hidden 表示用户或登录未启用 Azure AD 标识保护。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。 所有其他客户都被隐藏退回。 |
| RiskLevelDuringSignIn |
string |
登录时的风险级别。 可能的值:none、low、medium、high 或 hidden。 值 hidden 表示用户或登录未启用 Azure AD 标识保护。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。 所有其他客户都被隐藏退回。 |
| RiskState |
string |
风险用户、登录或风险事件的风险状态。 可能的值:none、confirmedSafe、remediated、dismissed、atRisk 或 confirmedCompromised。 |
| ServicePrincipalId |
string |
用于登录的应用程序标识符。 此字段会在使用应用程序登录时填充。 |
| ServicePrincipalName |
string |
用于登录的应用程序名称。 此字段会在使用应用程序登录时填充。 |
| SessionLifetimePolicies |
string |
登录事件中应用的任何条件访问会话管理策略。 |
| SignInIdentifier |
string |
用户登录时提供的标识。 它可能是 userPrincipalName,但当用户使用其他标识符登录时,它也会被填入。 |
| SignInIdentifierType |
string |
登录标识符的类型。 可能的值包括:userPrincipalName、phoneNumber、proxyAddress、qrCode、onPremisesUserPrincipalName。 |
| SourceSystem |
string |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| Status |
动态 |
登录状态。 包括错误代码和错误说明(登录失败时)。 |
| TimeGenerated |
datetime |
|
| TokenIssuerName |
string |
标识提供程序的名称。 例如,sts.microsoft.com。 |
| TokenIssuerType |
string |
身份供应程序的类型。 可能的值包括:AzureAD 或 ADFederationServices、AzureADBackupAuth、ADFederationServicesMFAAdapter、NPSExtension。 |
| 类型 |
字符串 |
表的名称 |
| UniqueTokenIdentifier |
string |
唯一的 base64 编码请求标识符,用于跟踪 Azure AD 颁发的令牌在资源提供程序中兑换的情况。 |
| UserAgent |
string |
与登录相关的用户代理信息。 |
| UserDisplayName |
string |
用户的显示名称。 |
| UserID |
string |
用户的标识符。 |
| UserPrincipalName |
string |
用户的 UPN。 |
| UserType |
string |
标识用户是租户的成员还是来宾。 可能的值为:member 和 guest。 |